Kerberos協(xié)議

Kerberos由MIT于1988年開發(fā)，用于分布式環(huán)境中的應(yīng)用層協(xié)議，這是一個(gè)身份認(rèn)證協(xié)議。其設(shè)計(jì)目標(biāo)是通過密鑰系統(tǒng)為客戶機(jī)/服務(wù)器應(yīng)用程序提供強(qiáng)大的認(rèn)證服務(wù)。Kerberos在一個(gè)分布式的Client/Server體系的機(jī)構(gòu)中，引入一個(gè)可信任的第三方(Kerberos服務(wù)器)，使用共享密鑰加密技術(shù)，讓其提供認(rèn)證服務(wù)。

簡(jiǎn)寫	全稱	作用
KDC	key distributed center	整個(gè)安全認(rèn)證過程的票據(jù)生成管理服務(wù)，其中包含兩個(gè)服務(wù)，AS和TGS
AS	authentication service	為client生成TGT的服務(wù)
TGS	ticket granting service	為client生成某個(gè)服務(wù)的ticket
AD	account database	存儲(chǔ)所有client的白名單，只有存在于白名單的client才能順利申請(qǐng)到TGT
TGT	ticket-granting ticket	用于獲取ticket的票據(jù)
Ticket	票據(jù)	身份或權(quán)利的證明，Ticket由AS以數(shù)據(jù)報(bào)形式發(fā)放給C
client		想訪問某個(gè)server的客戶端
server		提供某種業(yè)務(wù)的服務(wù)

1、Kerberos要解決的問題

在一個(gè)開放的分布式網(wǎng)絡(luò)環(huán)境中，用戶通過工作站訪問服務(wù)器提供的服務(wù)，存在許多問題：

工作站上的用戶可以冒充另一個(gè)用戶操作

用戶可以改變工作站的地址冒充另一臺(tái)工作站

用戶可以竊聽并回放他人的信息交換，獲得對(duì)于某種服務(wù)的訪問權(quán)或中斷服務(wù)的運(yùn)行

使用假冒服務(wù)器從而騙得用戶的機(jī)密信息

2、Kerberos 4認(rèn)證過程

認(rèn)證服務(wù)交換：獲得票據(jù)許可票據(jù)-- Tickettgs = EKtgs[Kc,tgs || IDc || ADc || IDtgs || TS2 || Lifetime2]

1）C → AS ：IDc || IDtgs || TS1

2）AS → C : EKc[Kc,tgs || IDtgs || TS2 || Lifetime2 || Tickettgs]

票據(jù)許可服務(wù)交換：獲得服務(wù)許可票據(jù)-- Ticketv = EKv[KC,V || IDc || ADc || IDv || TS4 || Lifetime4]；Kc,tgs : 由AS生成允許客戶端和TGS間安全交換報(bào)文；Authenticatorc = EKc,tgs[IDc || ADc || TS3]符號(hào)說明：Authenticatorc ：由客戶端產(chǎn)生認(rèn)證符，證明票據(jù)的有效性

3）C → TGS ：IDv || Tickettgs || Authenticatorc

4）TGS → C ：Kc,tgs[KC,V || IDv || TS4 || Ticketv]

客戶端/服務(wù)器端認(rèn)證交換：獲得服務(wù)-- Authenticatorc = EKc,v[IDc || ADc || TS5]

5）C → V ： Ticketv || Authenticatorc

6）V → C ：EKv[TS5 + 1]

3、Kerberos特點(diǎn)

安全：使網(wǎng)絡(luò)竊聽者不能獲得必要的信息來偽裝成另一個(gè)客戶。

可靠：對(duì)所有以Kerberos進(jìn)行控制訪問的服務(wù)來說，客戶無法通過Kerberos服務(wù)器的認(rèn)證就意味著無法獲得所需要的服務(wù)。

透明：用戶除了需要輸入一個(gè)口令外，不必知道認(rèn)證過程的存在以及細(xì)節(jié)。

可伸縮：可支持大量用戶和服務(wù)器。

總結(jié)

以上是生活随笔為你收集整理的Kerberos协议的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。